DE19531923B4 - Einrichtung zur Realisierung von safe-life-Funktionen - Google Patents

Einrichtung zur Realisierung von safe-life-Funktionen Download PDF

Info

Publication number
DE19531923B4
DE19531923B4 DE1995131923 DE19531923A DE19531923B4 DE 19531923 B4 DE19531923 B4 DE 19531923B4 DE 1995131923 DE1995131923 DE 1995131923 DE 19531923 A DE19531923 A DE 19531923A DE 19531923 B4 DE19531923 B4 DE 19531923B4
Authority
DE
Germany
Prior art keywords
systems
sys2
sys1
consumers
sen
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE1995131923
Other languages
English (en)
Other versions
DE19531923A1 (de
Inventor
Bernhard Dipl.-Ing. Pösel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE1995131923 priority Critical patent/DE19531923B4/de
Publication of DE19531923A1 publication Critical patent/DE19531923A1/de
Application granted granted Critical
Publication of DE19531923B4 publication Critical patent/DE19531923B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J1/00Circuit arrangements for dc mains or dc distribution networks
    • H02J1/10Parallel operation of dc sources
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Power Engineering (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Einrichtung zur Realisierung von safe-life-Funktionen in hochverfügbar ausgeführten technischen Anlagen zum Steuern und/oder Speisen von elektrischen Verbrauchern (SE1 bis SEn) mit mindestens zwei unabhängigen, von jeweils einem Mehrrechnersystem gesteuerten Steuerungs- und/oder Speisesystemen (SYS1, SYS2), von denen jeweils eines betriebsführend ist, bedarfsweise aber durch ein anderes System ersetzt werden kann, wobei die elektrischen Verbraucher (SE1 bis SEn) über Zuleitungen (TL) an alle Steuer- und/oder Speisesysteme (SYS1, SYS2) angeschlossen sind und in diesen Systemen (SYS1, SYS2) Schaltmittel (S1,S2) vorgesehen sind zum Durchschalten der Zuleitungen (TL) zu den Verbrauchern (SE1 bis SEn) ausschließlich für den Fall, dass das betreffende System (SYS1, SYS2) betriebsführend ist, dadurch gekennzeichnet, dass in den Systemen (SYS1, SYS2) an die Zuleitungen (TL) zu den Verbrauchern (SE1 bis SEn) so viele Eingabe-Baugruppen (L1.1 bis L1.3; L2.1 bis L2.3) angeschlossen sind wie das zugehörige Mehrrechnersystem Einzelrechner aufweist, wobei jeder Einzelrechner exklusiv das Ausgangssignal einer der Eingabe-Baugruppen (L1.1 bis L1.3; L2.1 bis...

Description

  • Die Erfindung bezieht sich auf eine Einrichtung nach dem Oberbegriff des Patentanspruches 1. Unter safe-life-Funktionen versteht man Funktionen, die durch Verwendung einer speziellen Hardware und/oder die Anwendung spezieller Software über den gesamten Lebenszyklus eines betrachteten Systems vorhanden sind, d. h. bei denen durch Redundanzmaßnahmen ein genügender Ausfallschutz gegen die Nichtausführbarkeit einer oder mehrerer Funktionen gegeben ist. Solche safe-life-Funktionen werden beispielsweise in der Eisenbahnsignaltechnik gefordert, beispielsweise bei der Steuerung der Trag- und Bremssysteme von Magnetbahnen. Die vorstehend genannten Funktionen müssen jederzeit realisierbar sein, um einen sicheren Bahnbetrieb zu gewährleisten. Für die Realisierung solcher safe-life-Funktionen ist es nicht nur erforderlich, die betreffenden Redundanzaggregate bereitzuhalten und auf Funktionsfähigkeit zu überwachen, wie aus der DE 41 36 650 A1 und der DE 39 24 266 A1 bekannt, vielmehr ist es erforderlich, nachzuweisen, dass diese Redundanzaggregate im Einsatzfall auch tatsächlich in der Lage sind, auf die jeweils gesteuerten Verbraucher in der geforderten Weise einzuwirken. Üblicherweise besteht bei einer ausschließlich aus Redundanzgründen vorgesehenen Einheit, z.B. einem Mehrrechnersystem, kein Zugriff auf die zu steuernden Prozesselemente, jedenfalls nicht hinsichtlich der Aufschaltung von Steuerungspotentialen oder Versorgungsspannungen; lediglich Überwachungsmeldungen über den jeweiligen Betriebszustand der Prozesselemente lassen sich auch von den Redundanzsystemen in der Standby-Phase empfangen und bewerten.
  • Aus der DE 39 28 651 A1 ist eine elektronische Schaltung, insbesondere für ein Antiblockiersystem bekannt, bei der mindestens ein Mikrocomputer die Spannung an einem wichtigen Verbindungspunkt der Schaltung zwecks Fehlererkennung zu festgelegten Zeitpunkten abtastet. Eine redundante Fehlersuche ist nicht vorgesehen.
  • Eine gattungsgemäße Einrichtung ist aus der DE 39 06 846 C2 bekannt. Dabei ist bei einer redundanten Rechneranordnung für Steuersysteme, insbesondere von Flugzeugen, eine gegenseitige Überwachung von Einzelrechnern und im Fehlerfall eine Umschaltung von einem betriebsführenden Rechnerpaar auf ein anderes Rechnerpaar vorgesehen. Eine Funktionsprüfung der Rechnerpaare sowie ein regelmäßiger Selbsttest ist damit nicht verbunden.
    •
  • Aufgabe der Erfindung ist es, eine Einrichtung gattungsgemäßer Art zur Realisierung von safe-life-Funktionen anzugeben.
  • Die Erfindung löst diese Aufgabe durch die Anwendung der kennzeichnenden Merkmale des Patentanspruchs 1 bei einer Einrichtung nach dem Oberbegriff dieses Anspruches. Vorteilhafte Weiterbildungen ergeben sich aus den Unteransprüchen.
  • Dadurch, dass gemäß der vorliegenden Erfindung das oder die Redundanzsysteme zu bestimmten Zeitpunkten vorübergehend auf die Prozesselemente einwirken müssen, wobei dann alle Systeme das Aufschalten von Steuerungs- oder Speisepotentialen auf die Versorgungsleitungen zu den Verbrauchern überwachen, wird die Zugriffsmöglichkeit des jeweils dann betriebsführend geschalteten Systems kontrolliert. Durch Rechnerkopplung unterrichten sich die einzelnen Mehrrechnersysteme, über die die Steuer- und/oder Speisesysteme für die Verbraucher geschaltet werden, von ihren jeweiligen Bewertungsergebnissen, um so für jedes Rechnersystem zu einem sicheren Bewertungsergebnis zu gelangen. Das Auskoppeln der jeweiligen Bewertungsergebnisse aus den Steuer- und Speiseleitungen zu den Verbrauchern geschieht über zueinander getrennte Koppelelemente.
  • Es ist sinnvoll, die einzelnen Steuer- und/oder Speisesysteme turnusmäßig im Wechsel betriebsführend zu schalten, wobei dann jeweils beim Wechsel auf ein anderes Steuer- und/oder Speisesystem das jeweils neu aufgeschaltete System auf seine Zugriffsmöglichkeit zu den Verbrauchern überprüft wird. Für die Überwachung der einzelnen Verbraucher sind diese jeweils zu Gruppen gleichartiger Verbraucher zusammengefaßt und an zugehörige Steuer- und/oder Versorgungsleitungen angeschlossen. Die einzelnen Gruppen von Verbrauchern werden zu Prüfzwecken jeweils gesondert angeschaltet und die Bewertungsergebnisse werden gesondert ausgewertet. Solche Gruppen von Verbrauchern sind z. B. die Schwebeeinrichtungen und die Bremseinrichtungen einer Magnetbahn oder deren Türsteuerungen.
    •
  • Die Erfindung ist nachstehend anhand eines in der Zeichnung schematisch dargestellten Ausführungsbeispiels näher erläutert.
  • Die Zeichnung zeigt zwei gleichartige Steuer- und/oder Speisesysteme SYS1, SYS2, die bedarfsweise auf zugehörige Verbraucher SE1 bis SEn einwirken sollen. Jedes Steuer- und/oder Speisesystem SYS1, SYS2 wird im wesentlichen dargestellt durch ein sicheres Mehrrechersystem, beispielsweise ein Zweivon-drei-System. Die beiden Steuer- und/oder Speisesysteme SYS1, SYS2 können völlig gleichartig ausgeführt sein zum Ausführen der gleichen Funktionen. Es ist aber auch möglich, dass z. B. das nur in Ausnahmesituationen wirksam zu schaltende Redundanzsystem einen geringeren Funktionsumfang aufweist und möglicherweise nur besonders wichtige Notfunktionen realisieren kann. Die Verbraucher SE1 bis SEn sind über gemeinsame Zuleitungen TL an beide Steuer- und/oder Speisesysteme SYS1, SYS2 angeschlossen. Die Zuleitungen TL sind im dargestellten Ausführungsbeispiel als Doppelleitung ausgeführt, die durch sämtliche Fahrzeuge eines zu steuernden Zuges geschleift sind und an die in den einzelnen Fahrzeugen die jeweils zu steuernden und/oder zu speisenden Verbraucher angeschlossen sind. Es ist angenommen, dass das Steuer- und/oder Speisesystem SYS1 das betriebsführende System ist. Einer der Rechner dieses Systems schaltet über einen symbolisch dargestellten sicheren Schaltkontakt S1 Steuer- und/oder Speisepotential auf eine der zu den Verbrauchern führenden Leitungen TL; die andere Leitung liegt ständig auf Bezugspotential.
  • Das Steuer- und/oder Speisesystem SYS1 überwacht das auf die Zuleitungen TL geschaltete Steuer- und/oder Speisepotential, indem es den Betriebszustand von an die Zuleitungen TL zu den Verbrauchern SE1 bis SEn geschalteten Eingabe-Baugruppen einliest. Dabei ist für jeden Einzelrechner des Rechnersystems eine gesonderte Eingabe-Baugruppe vorgesehen. Die Eingabe-Baugruppen sind als Optokoppler ausgeführt, von denen in der Zeichnung nur jeweils die Leuchtdioden L1.1 bis L1.3 dargestellt sind. Zum Überwachen des jeweils aufgeschalteten Signals sind jeweils mehrere Optokoppler vorgesehen, um jedem Rechnerkanal die Information zugänglich zu machen.
  • Neben dem betriebsführenden Steuer- und/oder Speisesystem SYS1 ist auch das nicht betriebsführende Steuer- und/oder Speisesystem SYS2 dazu in der Lage, das vom betriebsführenden System auf die Zuleitungen TL geschaltete Steuer- und/oder Speisepotential zu erfassen und zu bewerten. Dies geschieht über die Optokoppler L2.1 bis L2.3 von entsprechenden Eingabe-Baugruppen, die bei dem System SYS2 an die Zuleitungen zu den Verbrauchern geschaltet sind. Beide Steuer- und/oder Speisesysteme SYS1, SYS2 unterrichten sich über zugehörige Ein/Ausgabebaugruppen EA1, EA2 von ihren jeweiligen Bewertungsergebnissen. Jedes System kann damit selbständig erkennen, ob das oder die anderen Systeme zu dem gleichen Bewertungsergebnis gelangt sind wie es selbst. Wenn das nicht der Fall ist, werden bestimmte im Betriebsablauf der Systeme verankerte Reaktionen veranlaßt, die beispielsweise dazu führen, daß ein bislang betriebsführendes System abgeschaltet wird, wobei ein bislang nicht betriebsführendes System dann die Aufgaben oder einen Teil der Aufgaben des abgeschalteten Systems übernimmt. Ermittelt ein nicht betriebsführendes System eine Störung, die offenbar nur bei ihm auftritt, so setzt es eine entsprechende Störungsmeldung ab, über die eine möglichst rasche Reparatur des gestörten Systems veranlaßt werden kann.
  • Soll in vorgegebenen zeitlichen Abständen oder aber ereignisgesteuert die Zugriffsmöglichkeit eines nicht betriebsführenden Steuer- und/oder Überwachungssystems auf die Verbraucher überprüft werden, so ist vorübergehend kurzzeitig oder aber auch längerfristig die Berechtigung zur Betriebsführung mindestens für bestimmte Funktionen auf das zu überprüfende System zu übertragen. Im dargestellten Ausführungsbeispiel wird hierzu der Kontakt S1 geöffnet und der Kontakt S2 ge schlossen. Wenn nun auch das Steuer- und/oder Speisesystem SYS2 in der Lage ist, Steuer- und/oder Speisepotential auf die Zuleitungen TL zu den Verbrauchern zu schalten, wird dies über die Optokoppler von den Rechnern des eigenen Systems und von den Rechnern des oder der übrigen Systeme erkannt. Durch Austausch der ermittelten Bewertungsergebnisse ist jedes Rechnersystem in der Lage, zu überprüfen, ob die übrigen Rechnersysteme zu dem gleichen Bewertungsergebnis gelangt sind wie es selbst. Ist dies der Fall, so ist die Zugriffsmöglichkeit des angeschalteten Steuer- und/oder Speisesystems festgestellt worden; andernfalls liegt eine Störung vor, die zu einer vorgegebenen Reaktion führen muß.
  • Die Aufschaltung eines nicht betriebsführenden Steuer- und/oder Speisesystems auf die Zuleitungen zu den Verbrauchern kann prinzipiell kurzzeitig oder auch über längere Zeitabschnitte erfolgen. Wenn dabei eine gewisse Wahrscheinlichkeit für das Erkennen von nicht einwandfrei arbeitenden Redundanzsystemen besteht oder wenn die Redundanzsysteme nur bestimmte Teilfunktionen des üblicherweise betriebsführenden Systems ausführen, kann es von Vorteil sein, die Redundanzsysteme zu Prüfzwecken nur sehr kurzzeitig aufzuschalten, so daß die Verbraucher selbst auf das dann möglicherweise ausbleibende Steuer- und/oder Speisepotential noch gar nicht reagieren können. Zwar erkennen die steuernden Rechner innerhalb kürzester Zeit die eingetretenen Störung; durch die rasche Rückgabe der Betriebsführung an das zuvor betriebsführende Steuer- und/oder Speisesystem hat die eingetretene Störung auf die an die Zuleitungen angeschlossenen Verbraucher aber keine Auswirkungen.
  • Von jedem Steuer- und/oder Speisesystem kann es mehrere Zuleitungen zu unterschiedlichen Gruppen von gleichartigen Verbrauchern geben, die gesondert angeschaltet und gesondert überwacht werden. Alle diese Gruppen von Verbrauchern können jeweils gleichzeitig oder auch aufeinanderfolgend an- und abgeschaltet werden.
  • Kann ein Redundanzsystem nur ausgewählte Funktionen des üblicherweise betriebsführenden Systems ausführen, z.B. die sogenannten vitalen Funktionen wie z.B. die Trag- und Bremsfunktionen, so ist es möglich, daß das System, das diese Funktionen wegen einer Störung oder eines Defektes abgeben mußte, weiterhin einige der nicht von der Störung betroffenen Funktionen wie z.B, die Steuerung von Fahrgastinformationen oder die Steuerung der Fahrzeugtüren wahrnimmt. In diesem Fall wirken gleichzeitig mehrere Steuer- und/oder Speisesysteme auf allerdings unterschiedliche Gruppen von Verbrauchern ein. Es ist aber auch möglich, im Störungsfall einige weniger vitale Funktionen überhaupt nicht mehr auszuführen.
  • Die erfindungsgemäße Einrichtung macht es erstmals möglich, auch den Zugriff von Redundanzsystemen auf die von ihnen zu steuernden und/oder zu speisenden Verbraucher zu überprüfen. Dies bildet die Voraussetzung dafür, daß das jeweilige Redundanzsystem im Störungsfall auch tatsächlich in der Lage ist, die Steuerung eines technischen Prozesses weiterzuführen. Sie ist daher besonders geeignet für die Anwendung in hochverfügbar ausgeführten technischen Anlagen wie sie im Bahnbetrieb zur Anwendung kommen.

Claims (5)

  1. Einrichtung zur Realisierung von safe-life-Funktionen in hochverfügbar ausgeführten technischen Anlagen zum Steuern und/oder Speisen von elektrischen Verbrauchern (SE1 bis SEn) mit mindestens zwei unabhängigen, von jeweils einem Mehrrechnersystem gesteuerten Steuerungs- und/oder Speisesystemen (SYS1, SYS2), von denen jeweils eines betriebsführend ist, bedarfsweise aber durch ein anderes System ersetzt werden kann, wobei die elektrischen Verbraucher (SE1 bis SEn) über Zuleitungen (TL) an alle Steuer- und/oder Speisesysteme (SYS1, SYS2) angeschlossen sind und in diesen Systemen (SYS1, SYS2) Schaltmittel (S1,S2) vorgesehen sind zum Durchschalten der Zuleitungen (TL) zu den Verbrauchern (SE1 bis SEn) ausschließlich für den Fall, dass das betreffende System (SYS1, SYS2) betriebsführend ist, dadurch gekennzeichnet, dass in den Systemen (SYS1, SYS2) an die Zuleitungen (TL) zu den Verbrauchern (SE1 bis SEn) so viele Eingabe-Baugruppen (L1.1 bis L1.3; L2.1 bis L2.3) angeschlossen sind wie das zugehörige Mehrrechnersystem Einzelrechner aufweist, wobei jeder Einzelrechner exklusiv das Ausgangssignal einer der Eingabe-Baugruppen (L1.1 bis L1.3; L2.1 bis L2.3) bewertet und dass die einzelnen Steuer- und/oder Speisesysteme (SYS1, SYS2) in vorgebbaren Zeitabständen und/oder zu bestimmten ereignisorientierten Zeitpunkten mindestens vorübergehend in den betriebsführenden Zustand schaltbar sind, wobei jeweils alle Rechner der einzelnen Systeme (SYS1, SYS2) die Ausgangssignale ihrer Eingabe-Baugruppen (L1.1 bis L1.3; L2.1 bis L2.3) zum Erkennen eines nicht funktionsfähigen Systems (SYS1, SYS2) bewerten.
  2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die Einzelrechner jedes Rechnersystems exklusiv mit einem Einzelrechner eines anderen Rechnersystems verbunden sind und dass die so verbundenen Einzelrechner mindestens die Bewertungsergebnisse der ihnen zugeordneten Eingabe-Baugruppen (L1.1 bis L1.3; L2.1 bis L2.3) austauschen.
  3. Einrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Eingabe-Baugruppen (L1.1 bis L1.3; L2.1 bis L2.3) durch Optokoppler dargestellt sind.
  4. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die Dauer, für die die einzelnen Mehrrechnersysteme während der Prüfphasen betriebsführend schaltbar sind, unterhalb der Reaktionszeiten der Verbraucher (SE1 bis SEn) auf An- und Abschaltsignale liegen.
  5. Einrichtung nach einen der Ansprüche 1 bis 4 dadurch gekennzeichnet, dass die elektrischen Verbraucher (SE1 bis SEn) in Gruppen von gleichartigen Verbrauchern organisiert sind, die jeweils gemeinsam über gesonderte Zuleitungen (TL) an die Steuer- und/oder Speisesysteme (SYS1, SYS2) angeschlossen sind und dass diese Zuleitungen (TL) für die einzelnen Gruppen von Verbrauchern (SE1 bis SEn) getrennt schaltbar sind.
DE1995131923 1995-08-16 1995-08-16 Einrichtung zur Realisierung von safe-life-Funktionen Expired - Fee Related DE19531923B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1995131923 DE19531923B4 (de) 1995-08-16 1995-08-16 Einrichtung zur Realisierung von safe-life-Funktionen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1995131923 DE19531923B4 (de) 1995-08-16 1995-08-16 Einrichtung zur Realisierung von safe-life-Funktionen

Publications (2)

Publication Number Publication Date
DE19531923A1 DE19531923A1 (de) 1997-02-20
DE19531923B4 true DE19531923B4 (de) 2004-05-06

Family

ID=7770779

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1995131923 Expired - Fee Related DE19531923B4 (de) 1995-08-16 1995-08-16 Einrichtung zur Realisierung von safe-life-Funktionen

Country Status (1)

Country Link
DE (1) DE19531923B4 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19918270A1 (de) * 1999-04-22 2000-10-26 Abb Patent Gmbh Verfahren zur bedarfsabhängigen Berechnung einer Funktion

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3924266A1 (de) * 1989-07-22 1991-01-31 Standard Elektrik Lorenz Ag Verfahren zum betrieb einer signaltechnisch sicheren schnittstelle
DE3928651A1 (de) * 1989-08-30 1991-03-07 Wabco Westinghouse Fahrzeug Elektronische schaltung zur ueberwachung eines endverstaerkers und seiner last
DE4136650A1 (de) * 1991-11-07 1993-05-13 Bosch Gmbh Robert Steuereinrichtung fuer eine verstelleinrichtung in einem fahrzeug
DE3906846C2 (de) * 1989-03-03 1994-02-17 Bodenseewerk Geraetetech Redundante Rechneranordnung für Steuersysteme

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3906846C2 (de) * 1989-03-03 1994-02-17 Bodenseewerk Geraetetech Redundante Rechneranordnung für Steuersysteme
DE3924266A1 (de) * 1989-07-22 1991-01-31 Standard Elektrik Lorenz Ag Verfahren zum betrieb einer signaltechnisch sicheren schnittstelle
DE3928651A1 (de) * 1989-08-30 1991-03-07 Wabco Westinghouse Fahrzeug Elektronische schaltung zur ueberwachung eines endverstaerkers und seiner last
DE4136650A1 (de) * 1991-11-07 1993-05-13 Bosch Gmbh Robert Steuereinrichtung fuer eine verstelleinrichtung in einem fahrzeug

Also Published As

Publication number Publication date
DE19531923A1 (de) 1997-02-20

Similar Documents

Publication Publication Date Title
DE3003291C2 (de) Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
DE3432165C2 (de)
DE2701925C3 (de) Fahrzeugsteuerung mit zwei Bordrechnern
EP3448735B1 (de) Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems
WO2003031220A1 (de) Steuerungs- und energieversorgungssystem für wenigstens zwei flugzeugsitzplätze
DE10053023C1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
EP0551114A1 (de) Anordnung zur Informationsübermittlung
DE19531923B4 (de) Einrichtung zur Realisierung von safe-life-Funktionen
DE2647367B2 (de) Redundante Prozeßsteueranordnung
DE3007960C2 (de) Elektronisches Stellwerk
DE102007004917A1 (de) Verfahren und Anordnung zur Ansteuerung und Überwachung von Feldelementen
EP0182134A2 (de) Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen
DE2433187B1 (de) Zentral gesteuertes Stellwerk für den Eisenbahnbetrieb, insbesondere elektronisches Stellwerk
DE3137450A1 (de) Sicherheits-ausgabeschaltung fuer eine binaersignalpaare abgebende datenverarbeitungsanlage
DE3239434C1 (de) Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems
DE3010803C2 (de) Schalteinrichtung für ein Dreirechner-System in Eisenbahnanlagen
CH654260A5 (en) Computer-controlled signal box
DE102020112955B4 (de) Reiheneinbaugerät, Automatisierungssystem und Verfahren zur Prozessautomation
DE2148981C3 (de) Verfahren zur Erfassung und Steuerung de r Funktionszustande einzelner Systemeinheiten eines programmgesteuerten Verarbeitungssystems
DE3720879C2 (de)
DE3010803C3 (de)
EP0281890B1 (de) Sicherheitsschaltwerk mit mehreren dieselben Daten verarbeitenden Mikrocomputern
DE3127363A1 (de) "rechnergesteuertes stellwerk"
DE4241319A1 (de) Rechnersystem
EP2501010A1 (de) Verfahren zum Betreiben eines modularen elektrischen Systems

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20110301